Apple đã mất đi thời kỳ bảo mật huy hoàng?

Với số lượng bản vá lỗi bảo mật lớn nhất cùng một lỗ hổng trong hỗ trợ
thiết bị không dây, hệ điều hành Mac OS X dường như không còn kéo
dài được thời kỳ vô địch của mình. Chuyên gia của chúng tôi đã đi sâu
nghiên cứu các đe doạ thực trong thế giới Apple và phác thảo một số
bước đơn giản giúp bạn tự bảo vệ chính mình.

Sự kiện đánh dấu đầu tiên là bản update bảo mật tháng 5 khá quy mô của
Apple, vá hơn 40 lỗi trong hệ điều hành Mac OS X và QuickTime. Sau đó là
bản vá lỗi của tháng 8 với hơn 26 lỗi được sửa. Hầu như đồng thời các
chuyên gia nghiên cứu đều đề cập sâu sắc tới lỗ hổng bảo mật thiết bị không
dây dễ bị hack trong các máy tính MacBook tại Hội nghị hacker Black Hat
năm nay.

Điều gì đang diễn ra? Có phải Mac OS X đã chấm dứt thời kỳ huy hoàng của
mình? Có phải một số lượng lớn vấn đề bảo mật “mức Windows” lại xuất
hiện trong Mac OS X theo vết xe thông thường của các hệ điều hành?

Cũng không hẳn như vậy. Nghiên cứu từ các máy tính MacBook bị hack, các
chuyên gia bảo mật khẳng định rằng các ổ bị lỗi là thiết bị truy cập không dây
nhóm thứ ba, không phải thẻ AirPort dựng sẵn trong MacBook.

Nếu như bạn không vấp phải các lỗi bảo mật ngớ ngẩn thì OS X vẫn an toàn
như trước đây. Hiện tượng bạn đang thấy là sự phát triển tự nhiên của vấn đề
bảo mật hệ điều hành. Nó đang trở nên phổ biến hơn.

Bảo mật Windows và bảo mật Mac

Mac OS X là một hệ điều hành rất an toàn.
Nhưng không có nghĩa nó hoàn toàn kỳ
diệu. Một số người sử dụng Mac thích
truyền bá câu chuyện thần thoại về “sự bảo
mật hoàn hảo của hệ điều hành Mac OS X”.
Nhưng thực tế nó cũng chỉ là một trong các hệ điều hành được thiết kế tốt.
Mac OS X có khả năng kháng cự cao với các mối nguy hiểm, nhưng không
có nghĩa là không có lỗ hổng để tấn công.

Cũng không đúng khi nói rằng Windows là hệ điều hành tệ nhất. Thời kỳ đầu
với Windows NT 4, Microsoft Office và Internet Explorer, Microsoft đã có
những bước đi táo bạo với các quyết định cứng rắn. Nếu như không có phản
ứng tệ hại nào từ phía người dùng, họ sẽ tạo ra các vấn đề nigh-crippling như
bạn thấy trong các hệ điều hành Windows ngày nay. Điều tệ nhất ở Windows
là tài khoản Admistrator của người quản trị hệ thống cùng quá nhiều gói phần
mềm dành cho tài khoản này. Tài khoản Administrator của Windows cũng
giống như tài khoản mạnh nhất root trong Unix. Không có file nào người
quản trị viên không được quyền truy cập, không có hoạt động nào quản trị
viên không được thực hiện. Thậm chí tài khoản này còn được đặt mặc định
trong tất cả các hệ điều hành Windows, từ NT cho tới XP. Vì thế mỗi lần bạn
sử dụng máy tính với vài trò tải khoản gốc, bạn sẽ là… vua. Không có gì bạn
không thể làm. Thậm chí bạn còn không phải nhận bất kỳ cảnh báo nào.

Thêm một điểm rất không an toàn nữa là thói quen của Windows, hệ điều
hành thậm chí không yêu cầu mật khẩu đối với tài khoản Administrator. Bạn
có thể thực hiện quá trình đăng nhập tự động, không cần dùng mật khẩu. Vì
thế các malware khi thâm nhập vào hệ thống có thể chạy như một root (tài

khoản gốc). Rất ít hệ điều hành có thể ngăn chặn được chương trình phần
mềm chạy với các đặc quyền như thế.

Apple không hề có điều đó. Một người dùng với vai trò “Admistrator” không
có đặc quyền của tài khoản gốc, mà chỉ nằm trong nhóm “admin”. Điều đó có
nghĩa là, khi cần người dùng có thể thẩm định và chạy chương trình như một
root (tài khoản gốc), nhưng về cơ bản đó không phải là root thực. Trong Mac
OS X, khả năng đăng nhập hệ thống như một root là không thể. Bạn phải
thực hiện một số bước thiết lập rồi mới sử dụng được chức năng này.

Microsoft cũng học hỏi một số chi tiết từ Apple vào trong Windows Vista.
Khi hệ điều hành này được phát hành vào năm sau, người dùng sẽ không
được mặc định đăng nhập với vai trò là administrtor hay root.

Lý do của tất cả các bản vá lỗi?

Những cảnh báo bảo mật của Mac cùng các bản vá lỗi bạn thấy gần đây
không phải là dấu hiệu chứng tỏ Apple đang nhầm lẫn trong bảo mật hệ điều
hành. Nhưng nhiều người vẫn đang tích cực tìm kiếm lỗ hổng một cách
nghiêm túc để Apple có thể vá chúng. Chớ trêu là tất cả điều này đều đã được
Synmatec xác nhận trong nhiều báo tổng quan năm 2005. Trong bài “Internet
Security Threat Report” (Báo cáo về các đe doạ bảo mật Internet), Symantec
khẳng định rằng Mac OS X đang ngày càng trở nên phổ biến, sẽ có nhiều
người tìm ra lỗ hổng của nó (dù mạnh hay yếu). Và vì thế, tất nhiên con số
các lỗ hổng tìm thấy sẽ tăng và đó chính là điều các bạn thấy hiện nay.

Điều đó không phải là xấu. Có thể hơi đáng lo một chút, nhưng đó là cách tốt
nhất để giảm các lỗ hổng. Nếu những người tìm kiếm lỗ hổng Mac OS X chỉ
là các nhân viên Apple, hệ điều hành sẽ còn nhiều lỗi bị bỏ sót. Bản thân các
lỗ hổng này không dễ bị khai thác trực tiếp. Chúng chỉ là con đường tiềm ẩn

để khai thác và đó là lý do vì sao bạn cần phải luôn cập nhật bản mới nhất
cho hệ thống của mình.

Sự thật là tất cả các malware đến giờ vẫn còn chưa quan tâm nhiều tới OS X
và bạn vẫn chưa gặp nguy hiểm mấy khi thực hiện một vài bước bảo vệ thông
thường. Các đe doạ thực trong thế giới Mac chỉ là những hành động tự mãn
và dại dột mà thôi.

Tự bảo vệ mình

Mặc dù Mac OS X khá an toàn, nhưng bạn cũng có thể thực hiện một số
bước dễ dàng sau đây để tự bảo vệ mình:

1. Không dùng đến chức năng Sharing trừ phi bạn cần chia sẻ file.

Trừ phi bạn thật sự cần chia sẻ file với ai đó thì mới cần bật chức năng
Sharing. Đây là một bước rất dễ dàng. Chẳng cần làm gì cả. Mặc định, tất cả
các dịch vụ chia sẻ trong Mac OS X đều ở chế độ “disabled” (không sử
dụng). Kẻ tấn công sẽ khó khăn hơn nhiều nếu muốn truyền tải một file tới
cái máy chẳng bao giờ mở đường dẫn truyền file.

Nếu bạn không chắc chắn liệu mình có cần chia sẻ file hay không thì bạn có
thể cân nhắc theo hướng dẫn sau: Nếu bạn phải hỏi “Mình có nên làm điều đó
không”, câu trả lời là “Không”. Nếu bạn cần làm một điều gì đó, hãy chắc
chắn về nó.

Trong hai hình minh hoạ dưới đây, bạn có thể thấy các thiết lập chia sẻ bảo
mật mặc định. Nếu bạn bật bất kỳ dịch vụ chia sẻ nào, bạn không chắc chúng
vẫn hoạt động hay không. Đây là những điều bạn nên biết khi tắt các dịch vụ
này. (Hộp thoại Sharing là hộp thoại đầu tiên bạn thấy trong mục Sharing

Preference Pane ở phần System Preferences)

Thiết lập chia sẻ file mặc định (tắt) (Nguồn:
InformationWeek)

Thiết lập chia sẻ internet mặc định (tắt) (Nguồn:
InformationWeek)
2. Đừng download các phần mềm lạ

Đừng download các phần mềm lạ, không có nghĩa là “đừng bao giờ
download bất kỳ cái gì nếu như không có mã nguồn đầy đủ” nhưng bạn nên
chắc chắn về nguồn của nó. Như trước đây, một nhóm người đã gặp tai hoạ
khi cho rằng đang download miến phí qua internet bản demo Microsoft
Office 2004. Trong khi nó thực sự là một bản script độc hại, xoá sạch thư
mục gốc của họ. Tất nhiên chỉ có một nơi để các script này tồn tại là các
website download phải đặt dấu hỏi như Limewire.

Nói chung hãy download các phần mềm từ những website đáng tin cậy như
VersionTracker. Đó là một website tuyệt vời, không chỉ có các phần mềm
dành cho Mac OS X mà còn cả cho Windows và Palm. Chúng còn được cập
nhật liên tục hằng ngày. Không giống như hầu hết mạng P2P như LimeWire
đã nói trên, VersionTracker không cho phép post phần mềm nạc danh lên
website. Và ít nhất có một chương trình kiểm tra cơ sở các phần mềm sẽ đăng
tải lên website.

Không ai có thể đảm bảo được sự an toàn hoàn hảo. Nhưng VersionTracker
đến nay đã lựa chọn được cách thức bảo mật hợp lý. Download về rồi, nhưng
quá trình chạy chương trình mới cần cẩn thận nhất. Vì mỗi lần chạy mã lệnh,
bạn không thể điều khiển được mã lệnh đó đang làm gì. Nếu bạn là một
administrator thì mã nguồn chạy là do bạn. Nếu bạn thẩm định như một root

(gốc) trong một hộp thoại bảo mật thì mã nguồn chạy như một gốc. Không có
cái gì trong thế giới này có thể ngăn chặn được một Trojan horse với các đặc
quyền gốc.

3. Hãy suy nghĩ trước khi nhập mật khẩu

Nhiều ứng dụng yêu cầu bạn nhập mật khẩu quản trị, nhất là trong quá trình
cài đặt. Nhưng bạn không nên thực hiện điều đó ngay. Bao giờ cũng có câu
hỏi thẩm định lại. Nếu không có gì xảy ra, hãy kiểm tra xem liệu hộp thoại
yêu cầu có hợp lệ không. Dưới đây là hai ảnh yêu cầu thẩm định xác thực tôi
tạo ra bằng Applescript để chứng minh:

Hãy kiểm tra xem liệu hộp thoại yêu cầu được thẩm
định trước khi chấp nhận không (Nguồn:
InformationWeek
)
Có một số cách giúp xác định xem liệu đây có phải là hộp thoại yêu cầu xác
thực hay không. Đầu tiên là biểu tượng hình chiếc khoá với yêu cầu biểu
tượng của ứng dụng nằm bên trên. Sau đó là dòng thông báo, báo cho bạn
biết ứng dụng (trong trường hợp này là Script Debugger) đang yêu cầu mật
khẩu của bạn. Tiếp theo là username đầy đủ đã được điền sẵn trong ô
“Name”. Nếu chúng ta mở rộng hình tam giác “Details” chúng ta sẽ thấy
nhiều thông tin có thể giúp bạn hơn.

Hãy chắc chắn tên ứng dụng đã khớp (Nguồn:
InformationWeek)
Bây giờ chúng ta sẽ xem xét cụ thể các quy định yêu cầu của một ứng dụng
(system.privilege.admin) khi cấp phát đặc quyền truy cập như là một root.
Nếu tên của ứng dụng không khớp với tên biểu tượng nằm ở đầu hộp thoại,
hãy nghĩ hai lần trước khi thực hiện xác nhận. Tuy nhiên trước hết bạn nên

kiểm tra vị trí đặc quyền yêu cầu ứng dụng. Nếu bạn kích vào viền màu xanh
của tên ứng dụng bạn có thể lấy được đường dẫn danh sách ứng dụng đó, như
hình dưới đây:

và xem đường dẫn file đã phù hợp chưa (Nguồn:
InformationWeek)
Đường dẫn thể hiện trong Script Debugger 4 chính xác là tại thư mục:
/Applications/Programming/AppleScript/Script Debugger 4/ (chú ý trong
Unix dấu nhắc “/” chỉ mức gốc của ổ boot, và các thư mục được thể hiện với
dấu gạch chéo “/”). Nếu đường dẫn thể hiện trong hộp thoại và đường dẫn
đáng lẽ có của ứng dụng lại khác nhau thì không nên nhập mật khẩu vào.

Kiểm tra hộp thoại không phải là phương pháp hoàn hảo, nếu không muốn
nói là khá tầm thường nhưng thà có cái gì đó để kiểm tra còn hơn là tin tưởng
mù quáng.

4. Cập nhật các bản vá lỗi.

Trong khi có thể bạn không muốn chèn thêm các bản vá lỗi cho nặng máy thì
tôi không chờ quá một tuần để cập nhật nó. Các bản vá lỗi bảo mật là cách
đơn giản nhất để tự bảo vệ chính bạn. Tôi luôn luôn cập nhật phiên bản hệ
điều hành mặc dù có thể bạn phải trả tiền cho phiên bản mới bởi vì sự thực là
phiên bản hiện thời luôn thu hút sự quan tâm hơn khi xuất hiện lỗi và bản sửa
lỗi. Bảo mật là lý do xác đáng nhất để cập nhật các phiên bản mới. Một số lỗ
hổng bảo mật có thể đòi hỏi phải thay đổi mà chỉ có phiên bản hệ điều hành
mới mới có thể giải quyết được.

Nếu theo bốn mẹo nhỏ trên và áp dụng ý thức chung trong hướng dẫn sử
dụng Mac hằng ngày, cơ hội giải quyết các vấn đề sẽ nhanh hơn nhiều.


Sẽ không còn cơn ác mộng bảo mật lớn nào từ Mac OS X nữa. Tất cả đều chỉ
muốn nói lên rằng nhiều người sẽ sử dụng Mac OS X hơn và Apple sẽ quan
tâm một cách nghiêm túc hơn dưới quan điểm bảo mật. Và cuối cùng mọi thứ
đều tốt đẹp!